Разработка модели угроз безопасности информации: основные проблемы

Дата публикации: 23 ноября 2017

Вадим Владимирович Петров
Ведущий эксперт по защите информации

6

Создание моделей угроз информационным системам является одной из обязанностей операторов ИС, занятых защитой информации при обработке и передаче персональных данных (ИСПДн). Раньше это делалось довольно легко: взять базовую модель угроз ФСТЭК, действовавшую на тот момент методику создания и сформировать уже собственную модель, заточенную под нужную систему. Однако ФСТЭК переработала эту схему: на смену классам систем персональных данных пришли уровни защищенности, а угрозы были разбиты на три типа:

1. Недокументированные возможности (НДВ) в системном ПО.
2. НДВ в прикладном ПО.
3. Прочие.

Уровень защищенности системы зависит от типа актуальных угроз, но как определить актуальность той или иной угрозы, если это можно сделать только в ходе сертификации СЗИ? Можно использовать только сертифицированные программы, но не стоит забывать, что обновления таких программ уже не подлежат проверке и сертификации, а значит, потенциально могут нести в себе уязвимость. Тогда получается, что угроза недекларированных возможностей актуальна всегда, каким бы ПО вы ни пользовались. Но в этом случае не совсем ясно, как можно сделать модель угроз, поэтому обычно операторы стараются обосновать, почему считают такую-то угрозу неактуальной.

Что можно применить для разработки модели угроз

Для того, чтобы облегчить операторам задачу, ФСТЭК создала Банк уязвимостей– перечень всех обнаруженных компьютерных уязвимостей. Этот реестр постоянно пополняется как усилиями регулятора, так и основными участниками рынка в сфере информационной безопасности. Специалисты, работающие по лицензии ФСТЭК ТЗКИ, рекомендуют использовать данные этого реестра при создании индивидуальной модели угроз.

Также весной 2015 г. совместно с ведущими специалистами по кибербезопасности ФСТЭК начала работу над проектом «Методики определения актуальных угроз для ИС». В настоящее время этот проект сформулирован, но пока не утвержден: информационные технологии развиваются стремительно, и ФСТЭК не успевает дорабатывать проект так, чтобы он соответствовал их текущему уровню. Тем не менее, рекомендуется руководствоваться данным проектом, уточняя спорные моменты у специалистов.

В конечном итоге, для создания базовой модели угроз в настоящее время ФСТЭК советует пользоваться Приказами №№ 21 и 17 и, конечно, не пренебрегать данными Банка уязвимостей. Итоговый же результат будет зависеть уже от навыков и умений данного конкретного оператора.

Нужна помощь по технической защите информации? Обращайтесь, поможем.

Нужна косультация по лицензированию ФСТЭК?

Проконсультироваться